Karibu kwenye makala ya tano katika mfululizo kuhusu Suluhu ya Jukwaa la Usimamizi wa Wakala wa Check Point SandBlast. Nakala zilizotangulia zinaweza kupatikana kwa kufuata kiunga kinachofaa: , , , . Leo tutaangalia uwezo wa ufuatiliaji katika Jukwaa la Usimamizi, yaani kufanya kazi na kumbukumbu, dashibodi shirikishi (Tazama) na ripoti. Pia tutagusa mada ya Uwindaji wa Tishio ili kutambua vitisho vya sasa na matukio ya ajabu kwenye mashine ya mtumiaji.
Magogo
Chanzo kikuu cha habari kwa ajili ya ufuatiliaji wa matukio ya usalama ni sehemu ya Kumbukumbu, ambayo inaonyesha maelezo ya kina juu ya kila tukio na pia inakuwezesha kutumia vichujio vinavyofaa ili kuboresha vigezo vya utafutaji wako. Kwa mfano, unapobofya kulia kwenye kigezo (Blade, Kitendo, Ukali, n.k.) cha logi ya riba, kigezo hiki kinaweza kuchujwa kama Kichujio: "Parameta" au Chuja: "Parameta". Pia kwa kigezo cha Chanzo chaguo la Vyombo vya IP linaweza kuchaguliwa ambapo unaweza kuendesha ping kwa anwani/jina fulani la IP au endesha nslookup ili kupata anwani ya IP ya chanzo kwa jina.
Katika sehemu ya Kumbukumbu, kwa matukio ya kuchuja, kuna kifungu kidogo cha Takwimu, ambacho kinaonyesha takwimu kwenye vigezo vyote: mchoro wa muda na idadi ya kumbukumbu, pamoja na asilimia kwa kila parameter. Kutoka kwa kifungu hiki unaweza kuchuja kumbukumbu kwa urahisi bila kutumia bar ya utafutaji na kuandika maneno ya kuchuja - chagua tu vigezo vya maslahi na orodha mpya ya kumbukumbu itaonyeshwa mara moja.
Maelezo ya kina juu ya kila logi inapatikana kwenye paneli ya kulia ya sehemu ya Kumbukumbu, lakini ni rahisi zaidi kufungua logi kwa kubofya mara mbili ili kuchambua yaliyomo. Ifuatayo ni mfano wa kumbukumbu (picha inaweza kubofya), ambayo inaonyesha maelezo ya kina juu ya uanzishaji wa Kitendo cha Zuia cha Uigaji wa Tishio kwenye faili iliyoambukizwa ya ".docx". Kumbukumbu ina vifungu kadhaa vinavyoonyesha maelezo ya tukio la usalama: sera zilizoanzishwa na ulinzi, maelezo ya uchunguzi wa mahakama, taarifa kuhusu mteja na trafiki. Ripoti zinazopatikana kutoka kwa kumbukumbu zinastahili kuangaliwa mahususi - Ripoti ya Kuiga Tishio na Ripoti ya Uchunguzi wa Uchunguzi. Ripoti hizi pia zinaweza kufunguliwa kutoka kwa mteja wa Wakala wa SandBlast.
Ripoti ya Kuiga Tishio
Unapotumia blade ya Kuiga Tishio, baada ya uigaji kufanywa katika wingu la Check Point, kiungo cha ripoti ya kina juu ya matokeo ya uigaji - Ripoti ya Kuiga Tishio - inaonekana kwenye logi inayolingana. Yaliyomo katika ripoti kama hiyo yameelezewa kwa undani katika nakala yetu kuhusu . Inafaa kukumbuka kuwa ripoti hii inaingiliana na hukuruhusu "kuzama" maelezo ya kila sehemu. Pia inawezekana kutazama rekodi ya mchakato wa kuiga katika mashine pepe, kupakua faili hasidi asili au kupata heshi yake, na pia kuwasiliana na Timu ya Majibu ya Tukio la Check Point.
Ripoti ya Forensics
Kwa karibu tukio lolote la usalama, Ripoti ya Forensics inatolewa, ambayo inajumuisha maelezo ya kina kuhusu faili hasidi: sifa zake, vitendo, mahali pa kuingia kwenye mfumo na athari kwa mali muhimu ya kampuni. Tulijadili muundo wa ripoti kwa undani katika makala kuhusu . Ripoti kama hiyo ni chanzo muhimu cha habari wakati wa kuchunguza matukio ya usalama, na ikiwa ni lazima, maudhui ya ripoti yanaweza kutumwa mara moja kwa Timu ya Majibu ya Tukio la Check Point.
Mtazamo wa Smart
Check Point SmartView ni zana rahisi ya kuunda na kutazama dashibodi zinazobadilika (Tazama) na ripoti katika umbizo la PDF. Kutoka kwa SmartView unaweza pia kutazama kumbukumbu za watumiaji na matukio ya ukaguzi kwa wasimamizi. Kielelezo kilicho hapa chini kinaonyesha ripoti na dashibodi muhimu zaidi za kufanya kazi na Wakala wa SandBlast.
Ripoti katika SmartView ni hati zilizo na maelezo ya takwimu kuhusu matukio katika kipindi fulani cha muda. Inaauni upakiaji wa ripoti katika umbizo la PDF kwa mashine ambayo SmartView imefunguliwa, pamoja na upakiaji wa mara kwa mara kwenye PDF/Excel kwa barua pepe ya msimamizi. Kwa kuongeza, inasaidia uagizaji/usafirishaji wa violezo vya ripoti, uundaji wa ripoti zako mwenyewe, na uwezo wa kuficha majina ya watumiaji katika ripoti. Kielelezo kilicho hapa chini kinaonyesha mfano wa ripoti iliyojengewa ndani ya Kuzuia Tishio.
Dashibodi (Angalia) katika SmartView huruhusu msimamizi kufikia kumbukumbu za tukio linalolingana - bonyeza mara mbili tu kwenye kitu cha kupendeza, iwe safu wima ya chati au jina la faili hasidi. Kama ilivyo kwa ripoti, unaweza kuunda dashibodi zako na kuficha data ya mtumiaji. Dashibodi pia zinaauni uagizaji/usafirishaji wa violezo, upakiaji wa mara kwa mara kwenye PDF/Excel kwa barua pepe ya msimamizi, na masasisho ya data kiotomatiki ili kufuatilia matukio ya usalama kwa wakati halisi.
Sehemu za ziada za ufuatiliaji
Ufafanuzi wa zana za ufuatiliaji katika Mfumo wa Usimamizi hautakuwa kamili bila kutaja sehemu za Muhtasari, Usimamizi wa Kompyuta, Mipangilio ya Mwisho na Uendeshaji wa Push. Sehemu hizi zimefafanuliwa kwa kina , hata hivyo, itakuwa muhimu kuzingatia uwezo wao wa kutatua matatizo ya ufuatiliaji. Hebu tuanze na Muhtasari, ambao unajumuisha vifungu viwili - Muhtasari wa Uendeshaji na Muhtasari wa Usalama, ambavyo ni dashibodi zenye taarifa kuhusu hali ya mashine za watumiaji zinazolindwa na matukio ya usalama. Kama wakati wa kuingiliana na dashibodi nyingine yoyote, sehemu ndogo za Muhtasari wa Uendeshaji na Muhtasari wa Usalama, unapobofya mara mbili kigezo cha riba, hukuruhusu kufikia sehemu ya Usimamizi wa Kompyuta na kichujio kilichochaguliwa (kwa mfano, "Desktops" au "Pre- Hali ya Boot: Imewezeshwa"), au kwa sehemu ya Kumbukumbu za tukio maalum. Kifungu kidogo cha Muhtasari wa Usalama ni dashibodi ya "Mwonekano wa Mashambulizi ya Mtandao - Endpoint", ambayo inaweza kubinafsishwa na kuwekwa ili kusasisha data kiotomatiki.
Kutoka kwa sehemu ya Usimamizi wa Kompyuta unaweza kufuatilia hali ya wakala kwenye mashine za watumiaji, hali ya sasisho la hifadhidata ya Anti-Malware, hatua za usimbuaji wa diski, na mengi zaidi. Data yote inasasishwa kiotomatiki, na kwa kila kichujio asilimia ya mashine zinazolingana za watumiaji huonyeshwa. Kuhamisha data ya kompyuta katika umbizo la CSV pia kunatumika.
Kipengele muhimu cha ufuatiliaji wa usalama wa vituo vya kazi ni kuanzisha arifa kuhusu matukio muhimu (Tahadhari) na kusafirisha kumbukumbu (Matukio ya Nje) kwa ajili ya kuhifadhi kwenye seva ya logi ya kampuni. Mipangilio yote miwili inafanywa katika sehemu ya Mipangilio ya Mwisho, na kwa Tahadhari Inawezekana kuunganisha seva ya barua kutuma arifa za tukio kwa msimamizi na kusanidi vizingiti vya kuanzisha/kuzima arifa kulingana na asilimia/idadi ya vifaa vinavyokidhi vigezo vya tukio. Matukio ya kuuza nje hukuruhusu kusanidi uhamishaji wa kumbukumbu kutoka kwa Jukwaa la Usimamizi hadi seva ya logi ya kampuni kwa usindikaji zaidi. Inaauni SYSLOG, CEF, LEEF, umbizo za SPLUNK, itifaki za TCP/UDP, mifumo yoyote ya SIEM iliyo na wakala wa syslog inayoendesha, matumizi ya usimbaji fiche wa TLS/SSL na uthibitishaji wa mteja wa syslog.
Kwa uchambuzi wa kina wa matukio kwa wakala au ikiwa utawasiliana na usaidizi wa kiufundi, unaweza kukusanya kumbukumbu kwa haraka kutoka kwa mteja wa Wakala wa SandBlast kwa kutumia operesheni ya kulazimishwa katika sehemu ya Uendeshaji wa Push. Unaweza kusanidi uhamishaji wa kumbukumbu iliyozalishwa na kumbukumbu hadi seva za Uhakika au seva za shirika, na kumbukumbu iliyo na kumbukumbu huhifadhiwa kwenye mashine ya mtumiaji katika saraka ya C:UseruseernameCPInfo. Inasaidia kuzindua mchakato wa kukusanya kumbukumbu kwa wakati maalum na uwezo wa kuahirisha operesheni na mtumiaji.
Uwindaji wa Tishio
Uwindaji wa Tishio hutumiwa kutafuta shughuli hasidi na tabia isiyo ya kawaida katika mfumo ili kuchunguza zaidi tukio linalowezekana la usalama. Sehemu ya Uwindaji wa Tishio katika Mfumo wa Usimamizi hukuruhusu kutafuta matukio yenye vigezo maalum katika data ya mashine ya mtumiaji.
Zana ya Uwindaji wa Tishio ina maswali kadhaa yaliyofafanuliwa awali, kwa mfano: kuainisha vikoa au faili hasidi, kufuatilia maombi adimu kwa anwani fulani za IP (kuhusiana na takwimu za jumla). Muundo wa ombi lina vigezo vitatu: kiashiria (itifaki ya mtandao, kitambulisho cha mchakato, aina ya faili, n.k.), mwendeshaji (βniβ, βsiβ, βinajumuishaβ, βmoja kati yaβ, n.k.) na ombi mwili. Unaweza kutumia maneno ya kawaida katika mwili wa ombi, na unaweza kutumia vichungi vingi wakati huo huo kwenye upau wa utafutaji.
Baada ya kuchagua kichujio na kukamilisha uchakataji wa ombi, unaweza kufikia matukio yote muhimu, ukiwa na uwezo wa kuona maelezo ya kina kuhusu tukio hilo, kuweka kitu cha ombi karantini, au kutoa Ripoti ya kina ya Uchunguzi wa Uchunguzi yenye maelezo ya tukio hilo. Hivi sasa, chombo hiki kiko katika toleo la beta na katika siku zijazo imepangwa kupanua seti ya uwezo, kwa mfano, kuongeza habari kuhusu tukio kwa namna ya matrix ya Miter Att&ck.
Hitimisho
Hebu tufanye muhtasari: katika makala haya tuliangalia uwezo wa kufuatilia matukio ya usalama katika Mfumo wa Usimamizi wa Wakala wa SandBlast, na tukasoma zana mpya ya kutafuta kwa vitendo vitendo hasidi na hitilafu kwenye mashine za watumiaji - Uwindaji wa Tishio. Makala inayofuata itakuwa ya mwisho katika mfululizo huu na ndani yake tutaangalia maswali yanayoulizwa mara kwa mara kuhusu ufumbuzi wa Jukwaa la Usimamizi na kuzungumza juu ya uwezekano wa kupima bidhaa hii.
. Ili usikose machapisho yanayofuata kwenye mada Jukwaa la Usimamizi wa Wakala wa SandBlast, fuata sasisho kwenye mitandao yetu ya kijamii (, , , , ).
Chanzo: mapenzi.com